about:blank die zweite!

ApriliaRacer · 16.01.2005, 00:37

Hab das Problem das ,wenn ich ins Internet gehe immer diese Seite aufgemacht wird! about:blank
Außerdem gehen zwischendurch irgendwelche Fenster von Frauen usw. auf.
Was kann ich machen um das wieder loszuwerden was muss ich hier posten damit ihr mir helfen könnt?
THX schonma

Cidre · 16.01.2005, 00:49

Hallo,

lade und scanne mit eScan AntiVirus im abgesicherten Modus wie beschrieben.
Poste anschliessend die Virus Log Information von eScan AntiVirus:
Öffne die mwav.log -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.

Erstelle zusätzlich mit HiJackThis ein Log-File und poste es hier rein.
Persönliche Informationen, wie Benutzername und dergleichen, bitte unkenntlich machen.

ApriliaRacer · 16.01.2005, 00:51

Dauert aber ziemlich lange mit escan kann ich leider erst morgen posten denk ich ma. Trotzdem danke schonmal werd das dann morgen machen...

Cidre · 16.01.2005, 00:56

Keine Angst, wir laufen nicht weg.

ApriliaRacer · 16.01.2005, 01:20

So ich habe einfach keine Ruhe damit.:

Also das hat mir EScan gesagt:

Sat Jan 15 21:36:46 2005 => File C:\WINDOWS\System32\hdfsb.dll infected by "HackTool.Win32.Hidd.c" Virus. Action Taken: No Action Taken.
Sat Jan 15 21:38:27 2005 => File C:\WINDOWS\System32\wncust.exe infected by "Trojan-Dropper.Win32.Small.ow" Virus. Action Taken: No Action Taken.
Jan 15 21:38:27 2005 => File C:\WINDOWS\System32\wncust.exe infected by "Trojan-Dropper.Win32.Small.ow" Virus. Action Taken: No Action Taken.
Sat Jan 15 21:54:09 2005 => File C:\DOKUME~1\Koreti\LOKALE~1\TEMPOR~1\Content.IE5\8XYFWDY7\connect[2].htm infected by "Trojan-Downloader.JS.Small.ac" Virus. Action Taken: No Action Take
Sat Jan 15 21:57:47 2005 => File C:\DOKUME~1\Koreti\LOKALE~1\TEMPOR~1\Content.IE5\K9YRC1YZ\index[3].htm infected by "Exploit.VBS.Phel.a" Virus. Action Taken: No Action Taken.
Sat Jan 15 22:13:30 2005 => File C:\Dokumente und Einstellungen\Koreti\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8XYFWDY7\connect[2].htm infected by "Trojan-Downloader.JS.Small.ac" Virus. Action Taken: No Action Taken.
Sat Jan 15 22:16:07 2005 => File C:\Dokumente und Einstellungen\Koreti\Lokale Einstellungen\Temporary Internet Files\Content.IE5\K9YRC1YZ\index[3].htm infected by "Exploit.VBS.Phel.a" Virus. Action Taken: No Action Taken.
Sat Jan 15 22:18:58 2005 => File C:\ied_s7.cab infected by "Trojan-Downloader.Win32.Mediket.m" Virus. Action Taken: No Action Taken.
Sat Jan 15 22:33:52 2005 => File C:\Security\HijackThis\backups\backup-20050115-200614-539.dll infected by "Trojan-Downloader.Win32.Domcom.a" Virus. Action Taken: No Action Taken.
Sat Jan 15 22:35:48 2005 => File C:\WINDOWS\Downloaded Program Files\ipreg32.dll infected by "Trojan-Downloader.Win32.Domcom.a" Virus. Action Taken: No Action Taken.
Sat Jan 15 22:52:27 2005 => File C:\WINDOWS\system32\hdfsb.dll infected by "HackTool.Win32.Hidd.c" Virus. Action Taken: No Action Taken.
Sat Jan 15 22:54:25 2005 => File C:\WINDOWS\system32\winmsdc.exe infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: No Action Taken.
Sat Jan 15 22:54:30 2005 => File C:\WINDOWS\system32\wncust.exe infected by "Trojan-Dropper.Win32.Small.ow" Virus. Action Taken: No Action Taken.
Sat Jan 15 21:54:08 2005 => File C:\DOKUME~1\Koreti\LOKALE~1\TEMPOR~1\Content.IE5\8XYFWDY7\cax[1].cab tagged as not-a-virus:Porn-Dialer.Win32.OnlineDialer. No Action Taken.
Sat Jan 15 22:13:29 2005 => File C:\Dokumente und Einstellungen\Koreti\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8XYFWDY7\cax[1].cab tagged as not-a-virus:Porn-Dialer.Win32.OnlineDialer. No Action Taken.
Sat Jan 15 22:29:05 2005 => File C:\Programme\MP3 Player Utilities V1.28\RDiskUtility\sys\EBD.CAB tagged as not-a-virus:Tool.DOS.Restart. No Action Taken.
Sat Jan 15 22:33:53 2005 => File C:\Security\HijackThis\backups\backup-20050115-200614-650.dll tagged as not-a-virus:Porn-Dialer.Win32.OnlineDialer. No Action Taken.

HijackThis:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\mcicdb.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\mcicdb.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\mcicdb.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\mcicdb.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\mcicdb.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\mcicdb.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.telekom.de/bo/firststart
O2 - BHO: (no name) - {857430EA-F770-4E43-BBA6-06DF2287927B} - C:\WINDOWS\System32\mcicdb.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [BusinessOnline Log] "C:\Programme\T-DSL Business\bolog.exe"
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Security\AntiSpyware\gcasServ.exe"
O4 - Global Startup: Kaspersky Anti-Hacker.lnk = ?
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Neue Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Neue Programme\ICQLite\ICQLite.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{0A1A8344-1AA9-4B7C-81AF-AB459FE62990}: NameServer = 69.50.188.178 69.31.80.244
O17 - HKLM\System\CS1\Services\Tcpip\..\{0A1A8344-1AA9-4B7C-81AF-AB459FE62990}: NameServer = 69.50.188.178 69.31.80.244
O18 - Filter: text/html - {507E4ABB-F717-4608-BABC-6395EA613C21} - C:\WINDOWS\System32\mcicdb.dll
O18 - Filter: text/plain - {507E4ABB-F717-4608-BABC-6395EA613C21} - C:\WINDOWS\System32\mcicdb.dll
O23 - Service: AntiVir Service - Unknown - C:\Security\AVGUARD.EXE (file missing)
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update - Unknown - C:\Security\AVWUPSRV.EXE (file missing)
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe

Cidre · 16.01.2005, 01:32

Ich glaub zwar nicht, dass du eScan im abgesicherten Modus ausgeführt hast, aber dies ist letztendlich egal.

Aufgrund dessen, dass infected by "HackTool.Win32.Hidd.c" aktiv war/ist, solltest du besser dein System, anhand der Anleitung in meiner Signatur, neu aufsetzen, siehe dazu http://www.f-secure.de/v-desk/hacktool.shtml.

16.01.2005, 00:56	#4
Cidre Administrator, a.D.	about:blank die zweite! Keine Angst, wir laufen nicht weg. __________________ Gruß, Cidre [B]Neuaufsetzen des Systems/Absicherung - Wie poste ich falsch?

about:blank die zweite!

Log-Analyse und Auswertung: about:blank die zweite!